2662d545

Обнаружена дырка в Android-приложении «Приват24»

Андроид,Маркет Создатель Алексей Мохов, прежний работник российского «Самсунг» и Viewdle рассказал о солидной уязвимости, обнаруженной в Android-приложении онлайн-банкинга «Приват24», рассказывает «AIN».

Сущность уязвимости — в получении доступа к секретным данным клиента, который авторизовался в дополнении. Дополнение «Приват24» меняется данными с банком и все данные пересылаются в зашифрованном виде. Но в случае если на телефонном аппарате определено дополнение, которое «знает» акт общения с банком, то у него есть возможность получить всю информацию от банка, не понимая даже мобильного телефона/пароля в «Приват24». Другими словами, банк размышляет, что меняется данными со собственным дополнением, как сообщил Алексей.

На техническом уровне это реализовывается как запрос от дополнения к банку, имеющий определенные характеристики (appkey (конфиденциальный ключ дополнения), IMEI (не обычный IMEI, особый приватовский личный номер) еще определенные характеристики, которые тут не обозначены специально. «В собственное либо постороннее дополнение, которое клиент должен установить на телефонный аппарат, можно вделать эти требования с параметрами и приобретать решения от банка. Лишь клиент должен перед этим зайти в дополнение «Приват24», — объясняет Алексей. Какие данные дополнение может получить в итоге, обозначено на снимке экрана (лог настоящей сессии, повышенный снимок экрана можно посмотреть по сноске).

 

Неприятность еще и в том, что такой вредный код у себя в дополнениях может увидеть лишь клиент, крайне надутый на техническом уровне. Вторая ухватка, которая может тут износить: чтобы не отправлять регулярно требования в банк от вредного дополнения (проверять, прошел ли авторизацию человек) взломщик может пользоваться разрешением для дополнения в ОС Андроид. Если во вредном дополнении будет такое разрешение, то оно может установить, что клиент пустил «Приват24» и будет ждать процесса авторизации.

Алексей говорит, что позавчера послал извещение об уязвимости в службу безопасности банка, однако ответ еще не был получен.

Со слов Алексея, слабость удалось увидеть, когда во время действия над технологией оплаты в приватовском терминале самообслуживания для обслуживания такси создатель начал исследовать API-документацию банка и потом целиком декомпилировал код его Android-приложения. «В целом, безопасность дополнения — на хорошем уровне, однако такая слабость была найдена», — говорит он.

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий